SCHLUSSANTRÄGE DES GENERALANWALTS
PRIIT PIKAMÄE
vom 11. April 2024(1)
Rechtssache C‑768/21
TR
gegen
Land Hessen
(Vorabentscheidungsersuchen des Verwaltungsgerichts Wiesbaden, Deutschland)
„Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 57 Abs. 1 Buchst. a und f – Aufgaben der Aufsichtsbehörde – Art. 58 Abs. 2 – Befugnisse der Aufsichtsbehörde – Art. 77 Abs. 1 – Recht auf Beschwerde – Verletzung des Schutzes personenbezogener Daten – Verpflichtung der Aufsichtsbehörde zum Erlass von Maßnahmen“
I. Einleitung
1. Das vorliegende Vorabentscheidungsersuchen des Verwaltungsgerichts Wiesbaden (Deutschland) nach Art. 267 AEUV betrifft die Auslegung von Art. 57 Abs. 1 Buchst. a und f, Art. 58 Abs. 2 sowie Art. 77 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)(2) (im Folgenden: DSGVO).
2. Dieses Ersuchen ergeht im Rahmen eines Rechtsstreits zwischen TR und dem Land Hessen (Deutschland), vertreten durch den Hessischen Beauftragten für Datenschutz und Informationsfreiheit (im Folgenden: HBDI), wegen dessen Weigerung, gegen die Sparkasse wegen einer Verletzung des Schutzes personenbezogener Daten einzuschreiten. Das vorlegende Gericht möchte wissen, ob die Aufsichtsbehörde, wenn sie eine Datenverarbeitung feststellt, die die Rechte der betroffenen Person verletzt, im Rahmen der ihr durch Art. 58 Abs. 2 DSGVO übertragenen Befugnisse stets einzuschreiten hat oder ob sie im Einzelfall – trotz einer Verletzung – von einem Einschreiten absehen kann.
3. Der vorliegende Fall wirft mehrere neue Rechtsfragen auf, die eine eingehende Prüfung erfordern. Der Gerichtshof wird sich im Wesentlichen dazu äußern müssen, welche Rolle das Legalitäts- und das Opportunitätsprinzip in der Verwaltungspraxis der Aufsichtsbehörden und insbesondere bei der Wahrnehmung ihrer Aufgabe spielen, die Anwendung der DSGVO zu überwachen und für deren Einhaltung zu sorgen. Die sich aus der Rechtsprechung des Gerichtshofs ergebenden Auslegungshinweise werden diese Verwaltungspraxis beeinflussen und so zu einer kohärenten Anwendung dieser Verordnung in der Union beitragen.
II. Rechtlicher Rahmen
4. Die Erwägungsgründe 129, 141, 148 und 150 DSGVO lauten wie folgt:
„(129)Um die einheitliche Überwachung und Durchsetzung dieser Verordnung in der gesamten Union sicherzustellen, sollten die Aufsichtsbehörden in jedem Mitgliedstaat dieselben Aufgaben und wirksamen Befugnisse haben, darunter, insbesondere im Fall von Beschwerden natürlicher Personen, Untersuchungsbefugnisse, Abhilfebefugnisse und Sanktionsbefugnisse und Genehmigungsbefugnisse und beratende Befugnisse, sowie – unbeschadet der Befugnisse der Strafverfolgungsbehörden nach dem Recht der Mitgliedstaaten – die Befugnis, Verstöße gegen diese Verordnung den Justizbehörden zur Kenntnis zu bringen und Gerichtsverfahren anzustrengen. Dazu sollte auch die Befugnis zählen, eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen. Die Mitgliedstaaten können andere Aufgaben im Zusammenhang mit dem Schutz personenbezogener Daten im Rahmen dieser Verordnung festlegen. Die Befugnisse der Aufsichtsbehörden sollten in Übereinstimmung mit den geeigneten Verfahrensgarantien nach dem Unionsrecht und dem Recht der Mitgliedstaaten unparteiisch, gerecht und innerhalb einer angemessenen Frist ausgeübt werden. Insbesondere sollte jede Maßnahme im Hinblick auf die Gewährleistung der Einhaltung dieser Verordnung geeignet, erforderlich und verhältnismäßig sein, wobei die Umstände des jeweiligen Einzelfalls zu berücksichtigen sind, das Recht einer jeden Person, gehört zu werden, bevor eine individuelle Maßnahme getroffen wird, die nachteilige Auswirkungen auf diese Person hätte, zu achten ist und überflüssige Kosten und übermäßige Unannehmlichkeiten für die Betroffenen zu vermeiden sind. …
…
(141) Jede betroffene Person sollte das Recht haben, bei einer einzigen Aufsichtsbehörde insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthalts eine Beschwerde einzureichen und gemäß Artikel 47 der Charta [der Grundrechte der Europäischen Union, im Folgenden: Charta] einen wirksamen gerichtlichen Rechtsbehelf einzulegen, wenn sie sich in ihren Rechten gemäß dieser Verordnung verletzt sieht oder wenn die Aufsichtsbehörde auf eine Beschwerde hin nicht tätig wird, eine Beschwerde teilweise oder ganz abweist oder ablehnt oder nicht tätig wird, obwohl dies zum Schutz der Rechte der betroffenen Person notwendig ist. Die auf eine Beschwerde folgende Untersuchung sollte vorbehaltlich gerichtlicher Überprüfung so weit gehen, wie dies im Einzelfall angemessen ist. Die Aufsichtsbehörde sollte die betroffene Person innerhalb eines angemessenen Zeitraums über den Fortgang und die Ergebnisse der Beschwerde unterrichten. …
…
(148) Im Interesse einer konsequenteren Durchsetzung der Vorschriften dieser Verordnung sollten bei Verstößen gegen diese Verordnung zusätzlich zu den geeigneten Maßnahmen, die die Aufsichtsbehörde gemäß dieser Verordnung verhängt, oder an Stelle solcher Maßnahmen Sanktionen einschließlich Geldbußen verhängt werden. Im Falle eines geringfügigeren Verstoßes oder falls [die] voraussichtlich zu verhängende Geldbuße eine unverhältnismäßige Belastung für eine natürliche Person bewirken würde, kann anstelle einer Geldbuße eine Verwarnung erteilt werden. Folgendem sollte jedoch gebührend Rechnung getragen werden: der Art, Schwere und Dauer des Verstoßes, dem vorsätzlichen Charakter des Verstoßes, den Maßnahmen zur Minderung des entstandenen Schadens, dem Grad der Verantwortlichkeit oder jeglichem früheren Verstoß, der Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, der Einhaltung der gegen den Verantwortlichen oder Auftragsverarbeiter angeordneten Maßnahmen, der Einhaltung von Verhaltensregeln und jedem anderen erschwerenden oder mildernden Umstand. …
…
(150) Um die verwaltungsrechtlichen Sanktionen bei Verstößen gegen diese Verordnung zu vereinheitlichen und ihnen mehr Wirkung zu verleihen, sollte jede Aufsichtsbehörde befugt sein, Geldbußen zu verhängen. In dieser Verordnung sollten die Verstöße sowie die Obergrenze der entsprechenden Geldbußen und die Kriterien für ihre Festsetzung genannt werden, wobei diese Geldbußen von der zuständigen Aufsichtsbehörde in jedem Einzelfall unter Berücksichtigung aller besonderen Umstände und insbesondere der Art, Schwere und Dauer des Verstoßes und seiner Folgen sowie der Maßnahmen, die ergriffen worden sind, um die Einhaltung der aus dieser Verordnung erwachsenden Verpflichtungen zu gewährleisten und die Folgen des Verstoßes abzuwenden oder abzumildern, festzusetzen sind. …“
5. Art. 33 Abs. 1 dieser Verordnung bestimmt:
„Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. …“
6. Art. 34 Abs. 1 der Verordnung sieht vor:
„Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.“
7. In Art. 57 Abs. 1 der Verordnung heißt es:
„Unbeschadet anderer in dieser Verordnung dargelegter Aufgaben muss jede Aufsichtsbehörde in ihrem Hoheitsgebiet
a) die Anwendung dieser Verordnung überwachen und durchsetzen;
…
f) sich mit Beschwerden einer betroffenen Person oder Beschwerden einer Stelle, einer Organisation oder eines Verbandes gemäß Artikel 80 befassen, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten, insbesondere, wenn eine weitere Untersuchung oder Koordinierung mit einer anderen Aufsichtsbehörde notwendig ist;
…“
8. Art. 58 DSGVO bestimmt:
„(1) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Untersuchungsbefugnisse, die es ihr gestatten,
a) den Verantwortlichen, den Auftragsverarbeiter und gegebenenfalls den Vertreter des Verantwortlichen oder des Auftragsverarbeiters anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind,
…
(2) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Abhilfebefugnisse, die es ihr gestatten,
a) einen Verantwortlichen oder einen Auftragsverarbeiter zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen diese Verordnung verstoßen,
b) einen Verantwortlichen oder einen Auftragsverarbeiter zu verwarnen, wenn er mit Verarbeitungsvorgängen gegen diese Verordnung verstoßen hat,
c) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen,
d) den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen,
e) den Verantwortlichen anzuweisen, die von einer Verletzung des Schutzes personenbezogener Daten betroffene Person entsprechend zu benachrichtigen,
f) eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen,
…
i) eine Geldbuße gemäß Artikel 83 zu verhängen, zusätzlich zu oder anstelle von in diesem Absatz genannten Maßnahmen, je nach den Umständen des Einzelfalls,
…“
9. Art. 77 der Verordnung lautet:
„(1) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.
(2) Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Artikel 78.“
10. Art. 78 Abs. 1 und 2 der Verordnung sieht vor:
„(1) Jede natürliche oder juristische Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbehörde.
(2) Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn die nach den Artikeln 55 und 56 zuständige Aufsichtsbehörde sich nicht mit einer Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der gemäß Artikel 77 erhobenen Beschwerde in Kenntnis gesetzt hat.“
11. In Art. 83 Abs. 1 und 2 DSGVO heißt es:
„(1) Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 4, 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.
(2) Geldbußen werden je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von Maßnahmen nach Artikel 58 Absatz 2 Buchstaben a bis h und j verhängt. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt:
a) Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;
b) Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;
c) jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;
d) Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen;
e) etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters;
f) Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;
g) Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;
h) Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat;
i) Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden;
j) Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42 und
k) jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.“
III. Sachverhalt, Ausgangsverfahren und Vorlagefrage
12. Die Sparkasse ist eine kommunale Anstalt des öffentlichen Rechts, die u. a. Bank- und Kreditgeschäfte abwickelt. Am 15. November 2019 meldete sie dem HBDI nach Art. 33 DSGVO eine Verletzung des Schutzes personenbezogener Daten, da eine ihrer Mitarbeiterinnen mehrmals unbefugt auf personenbezogene Daten von TR, einem ihrer Kunden, zugegriffen hatte. Da die Sparkasse der Ansicht war, dass es sich nicht um eine Verletzung personenbezogener Daten mit einem voraussichtlich hohen Risiko für TR handle, sah sie aber davon ab, auch TR nach Art. 34 DSGVO zu benachrichtigen.
13. Nachdem TR von diesem Vorfall Kenntnis erlangt hatte, wandte er sich mit Schreiben vom 27. Juli 2020 an den HBDI und zeigte einen Verstoß gegen Art. 34 DSGVO an, wobei er die kurze dreimonatige Speicherfrist der Sparkassen-Zugriffsprotokolle und den Umstand rügte, dass jeder Mitarbeiter der Sparkasse umfassende Zugriffsrechte habe.
14. Im Rahmen des Verfahrens vor dem HBDI gab die Sparkasse an, ihr Datenschutzbeauftragter sei davon ausgegangen, dass kein Risiko für TR drohe, da Disziplinarmaßnahmen gegen die betreffende Mitarbeiterin ergriffen worden seien und diese schriftlich bestätigt habe, die ihr zur Kenntnis gelangten Daten weder kopiert noch gespeichert noch an Dritte übermittelt zu haben, und da sie zugesagt habe, dies auch zukünftig nicht zu tun. Außerdem müsse die Speicherdauer der Zugriffsdaten überprüft werden.
15. Der HBDI teilte TR mit Bescheid vom 3. September 2020 mit, dass die Sparkasse in diesem Fall nicht gegen Art. 34 DSGVO verstoßen habe. Im Rahmen dieser Bestimmung sei eine Prognoseentscheidung zu treffen. Aus datenschutzaufsichtsrechtlicher Sicht sei zu prüfen, ob diese Entscheidung offensichtlich falsch gewesen sei. Die Sparkasse habe ausgeführt, dass zwar ein Datenzugriff erfolgt sei, es aber keinerlei Anhaltspunkte dafür gegeben habe, dass die entsprechende Mitarbeiterin die Daten an Dritte weitergegeben oder zum Nachteil von TR verwendet habe. Daher sei voraussichtlich kein hohes Risiko gegeben. Außerdem sei die Sparkasse aufgefordert worden, ihre Protokollierung nunmehr länger zu speichern. Eine grundsätzliche Kontrolle eines jeden Zugriffs sei nicht erforderlich, da in der Regel umfangreiche Zugriffsrechte erteilt werden dürften, wenn sichergestellt sei, dass jeder Nutzer belehrt werde, unter welchen Bedingungen auf welche Daten zugegriffen werden dürfe.
16. Gegen den Bescheid vom 3. September 2020 erhob TR Klage beim Verwaltungsgericht Wiesbaden, dem vorlegenden Gericht, und beantragte, den HBDI zum Einschreiten gegen die Sparkasse zu verpflichten.
17. Zur Begründung seiner Klage macht TR geltend, der HBDI habe seine Beschwerde nicht nach den Vorgaben der DSGVO bearbeitet. Er habe einen Anspruch darauf, dass seine Beschwerde bearbeitet und er darüber unterrichtet werde. Der HBDI hätte die tatsächlichen Umstände für die Beurteilung des Risikos durch die Sparkasse ermitteln müssen; er sei nicht auf die ausdrücklich beantragten Maßnahmen beschränkt gewesen und hätte gegen die Sparkasse Bußgelder verhängen müssen. Bei einem festgestellten Verstoß gelte nicht das Opportunitätsprinzip, so dass dem HBDI kein Entschließungsermessen, sondern allenfalls ein Auswahlermessen hinsichtlich der Maßnahmen zukomme, die er zu ergreifen gedenke.
18. Das vorlegende Gericht führt aus, im vorliegenden Fall sei der HBDI als Aufsichtsbehörde zu dem Ergebnis gelangt, dass zwar ein Verstoß gegen Datenschutzbestimmungen vorliege, ein Einschreiten nach Art. 58 Abs. 2 DSGVO aber dennoch nicht geboten sei. Dieses Vorgehen sei nur rechtmäßig, wenn eine Aufsichtsbehörde auch bei einem festgestellten Datenschutzverstoß nicht zum Einschreiten verpflichtet sei. Schließe man sich der Auffassung von TR an, wonach der Aufsichtsbehörde kein Ermessen zustehe, hätte dies zur Folge, dass bei einem festgestellten Verstoß stets ein Anspruch auf Einschreiten und Abhilfe bestünde und die Aufsichtsbehörde in allen Fällen eine Maßnahme zu treffen hätte. Im Fall der Ablehnung müsste das Gericht dann die Aufsichtsbehörde zu einer Maßnahme oder einer Auswahl von Maßnahmen verpflichten.
19. Das vorlegende Gericht legt dar, diese auch in der Literatur teilweise vertretene Argumentation beruhe darauf, dass die Abhilfebefugnisse nach Art. 58 Abs. 2 DSGVO zur Wiederherstellung rechtmäßiger Zustände dienten, wenn Bürger durch eine Datenverarbeitung in ihren Rechten verletzt würden. Diese Bestimmung sei also als Verpflichtungsnorm zu verstehen, die einen Anspruch des Bürgers auf behördliches Handeln begründe, wenn ein Unternehmen oder eine Behörde rechtswidrig personenbezogene Daten des Bürgers verarbeitet oder in anderer Weise Rechte verletzt habe. Werde ein Datenschutzverstoß festgestellt, sei die Aufsichtsbehörde zur Abhilfe verpflichtet, wobei ihr lediglich das Auswahlermessen bleibe, welche der vorgesehenen Maßnahmen sie ergreife.
20. Das vorlegende Gericht hat jedoch Zweifel an dieser Auslegung und hält sie für zu weitgehend. Es neigt vielmehr dazu, der Aufsichtsbehörde einen Spielraum zuzugestehen, auch bei festgestellten Verstößen von Sanktionen abzusehen. Art. 57 Abs. 1 Buchst. f DSGVO bestimme nämlich nur, dass sich die Aufsichtsbehörde mit Beschwerden befasse, den Gegenstand der Beschwerde in angemessenem Umfang untersuche und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichte. Hieraus folge eine Pflicht der Aufsichtsbehörde zu einer sorgsamen inhaltlichen Prüfung in jedem Einzelfall, jedoch nicht, dass stets und ausnahmslos ein Einschreiten geboten wäre, wenn ein Verstoß festgestellt werde.
21. Unter diesen Umständen hat das Verwaltungsgericht Wiesbaden beschlossen, das Verfahren auszusetzen und dem Gerichtshof die folgende Frage zur Vorabentscheidung vorzulegen:
Sind Art. 57 Abs. 1 Buchst. a und f sowie Art. 58 Abs. 2 Buchst. a bis j in Verbindung mit Art. 77 Abs. 1 DSGVO dahin auszulegen, dass in dem Fall, dass die Aufsichtsbehörde eine Datenverarbeitung feststellt, die den Betroffenen in seinen Rechten verletzt, die Aufsichtsbehörde stets verpflichtet ist, nach Art. 58 Abs. 2 DSGVO einzuschreiten?
IV. Verfahren vor dem Gerichtshof
22. Der Vorlagebeschluss vom 10. Dezember 2021 ist am 14. Dezember 2021 bei der Kanzlei des Gerichtshofs eingegangen.
23. Die Parteien des Ausgangsverfahrens, die österreichische, die portugiesische, die rumänische und die norwegische Regierung sowie die Europäische Kommission haben innerhalb der in Art. 23 der Satzung des Gerichtshofs der Europäischen Union festgelegten Frist schriftliche Erklärungen eingereicht.
24. In der Generalversammlung vom 16. Januar 2024 hat der Gerichtshof beschlossen, keine mündliche Verhandlung abzuhalten.
V. Rechtliche Würdigung
A. Vorbemerkungen
25. Seit dem Inkrafttreten der DSGVO mussten viele Organisationen verschiedene Maßnahmen ergreifen, um der neuen Regelung für die Verarbeitung personenbezogener Daten zu entsprechen. Führen sie diese Maßnahmen nicht durch, drohen ihnen je nach Schwere des Verstoßes mehr oder weniger harte Sanktionen. Dabei sind Geldbußen der zentrale Aspekt der mit der DSGVO eingeführten Durchsetzungsbestimmungen. Sie sind neben den anderen in Art. 58 Abs. 2 DSGVO vorgesehenen Abhilfemaßnahmen ein wirksames Element des Instrumentariums, das den Aufsichtsbehörden zur Durchsetzung der Regelung zur Verfügung steht. Da die DSGVO die Aufsichtsbehörden ermächtigt, mitunter sehr hohe Geldbußen zu verhängen, erscheint es im Interesse der Rechtssicherheit angebracht, zu klären, unter welchen Umständen der Rückgriff auf diese Abhilfemaßnahme gerechtfertigt ist. Daher möchte ich die vorliegenden Schlussanträge als Beitrag zu dieser Zielsetzung verstanden wissen.
26. Die Schlussanträge in der vorliegenden Rechtssache schließen gewissermaßen dort an, wo meine Schlussanträge in den verbundenen Rechtssachen C‑26/22 und C‑64/22 (SCHUFA Holding) (im Folgenden: Rechtssachen SCHUFA)(3) enden. Während ich in diesen Rechtssachen erläutert habe, welches die Pflichten der Aufsichtsbehörde bei der Prüfung einer Beschwerde gemäß Art. 77 DSGVO sind, werde ich mich in der vorliegenden Rechtssache mit den Pflichten dieser Behörde bei der Feststellung einer Verletzung des Schutzes personenbezogener Daten sowie mit ihrer Befugnis zum Erlass von Abhilfemaßnahmen befassen, wozu auch die Verhängung von Geldbußen gehört. Sodann werde ich prüfen, ob die DSGVO die Aufsichtsbehörde dazu verpflichtet, eine solche Geldbuße in allen Fällen oder zumindest dann aufzuerlegen, wenn der Beschwerdeführer dies ausdrücklich verlangt. Auf der Grundlage eines Resümees meiner Prüfung werde ich die Frage beantworten, mit der das vorlegende Gericht wissen will, ob die Aufsichtsbehörde auf den Erlass von Abhilfemaßnahmen verzichten kann.
B. Zulässigkeit des Vorabentscheidungsersuchens
27. Vor einer Erörterung all dieser Aspekte ist zunächst auf das Vorbringen einzugehen, mit dem TR die Unzulässigkeit des Vorabentscheidungsersuchens rügt. TR macht konkret geltend, dass es für die Entscheidung des Ausgangsrechtsstreits einer Beantwortung der Vorlagefrage nicht bedürfe. Mit seiner Klage beantrage er nur, dass das vorlegende Gericht den HBDI zur Bescheidung seiner Beschwerde wegen der darin vorgebrachten Beschwerdepunkte, nicht aber zum Gebrauch der Befugnisse aus Art. 58 Abs. 2 DSGVO verurteilen möge.
28. Insoweit ist zu beachten, dass es im Rahmen der durch Art. 267 AEUV geschaffenen Zusammenarbeit zwischen dem Gerichtshof und den nationalen Gerichten allein Sache des nationalen Gerichts ist, das mit dem Rechtsstreit befasst ist und in dessen Verantwortungsbereich die zu erlassende Entscheidung fällt, anhand der Besonderheiten der Rechtssache sowohl die Erforderlichkeit einer Vorabentscheidung für den Erlass seines Urteils als auch die Erheblichkeit der dem Gerichtshof vorzulegenden Fragen zu beurteilen. Daher ist der Gerichtshof grundsätzlich gehalten, über ihm vorgelegte Fragen zu befinden, wenn diese die Auslegung des Unionsrechts betreffen(4).
29. Infolgedessen spricht eine Vermutung für die Entscheidungserheblichkeit der Fragen, die ein nationales Gericht in dem rechtlichen und sachlichen Rahmen, den es in eigener Verantwortung festlegt und dessen Richtigkeit der Gerichtshof nicht zu prüfen hat, zur Auslegung des Unionsrechts stellt. Die Zurückweisung des Ersuchens eines nationalen Gerichts ist dem Gerichtshof nur möglich, wenn die erbetene Auslegung des Unionsrechts offensichtlich in keinem Zusammenhang mit den Gegebenheiten oder dem Gegenstand des Ausgangsrechtsstreits steht, wenn das Problem hypothetischer Natur ist oder wenn der Gerichtshof nicht über die tatsächlichen und rechtlichen Angaben verfügt, die für eine zweckdienliche Beantwortung der ihm vorgelegten Fragen erforderlich sind(5).
30. Im vorliegenden Fall hat das vorlegende Gericht die Gründe, aus denen es die in seiner Vorlagefrage angeführten unionsrechtlichen Bestimmungen für auslegungsbedürftig hält, klar dargelegt und erklärt, auf die Beantwortung dieser Frage komme es für die Entscheidung des Ausgangsrechtsstreits insoweit an, als TR den HBDI aufgefordert habe, gegen die Sparkasse einzuschreiten. Wie aus der Begründung des Vorabentscheidungsersuchens hervorgeht, hatte TR einen „Anspruch“ auf ein solches Einschreiten geltend gemacht. TR zufolge hätte der HBDI insbesondere „gegen die Sparkasse Bußgelder verhängen müssen“. In diesem Zusammenhang verweist das vorlegende Gericht auf Berechnungen von TR zur Bestimmung der Höhe der aufzuerlegenden Geldbußen.
31. All diese Angaben, die das vorlegende Gericht selbst übermittelt hat, widersprechen eindeutig dem Vorbringen von TR zur angeblichen Unzulässigkeit des Vorabentscheidungsersuchens. In Anbetracht dieser Umstände steht meines Erachtens außer Zweifel, dass die Antwort auf die Vorlagefrage für die Entscheidung des Rechtsstreits erforderlich ist. Es erscheint nämlich unerlässlich, den Umfang der Befugnisse der Aufsichtsbehörde sowie ihrer Verpflichtungen gegenüber einem Beschwerdeführer zu bestimmen. Daher ist das Vorabentscheidungsersuchen für zulässig zu erklären.
C. Prüfung der Vorlagefrage
32. In der Sache selbst zielt die Vorlagefrage im Wesentlichen darauf ab, zu klären, welches die Pflichten der Aufsichtsbehörde sind, wenn eine Verletzung des Schutzes personenbezogener Daten ermittelt wurde. Eine solche Fallkonstellation setzt in der Regel voraus, dass die fragliche Verletzung im Rahmen einer Untersuchung festgestellt wurde, die aufgrund einer Beschwerde eingeleitet worden war.
33. Die Ausführungen des vorlegenden Gerichts lassen einige Ungenauigkeiten in Bezug auf die der Aufsichtsbehörde durch die DSGVO auferlegten Pflichten bei der Prüfung einer Beschwerde erkennen, was meiner Ansicht nach darauf zurückzuführen ist, dass das Vorabentscheidungsersuchen vor der Verkündung des Urteils in den Rechtssachen SCHUFA(6) eingereicht worden ist, in dem der Gerichtshof mehrere wichtige Grundsätze für das Beschwerdeverfahren aufgestellt hat. Es besteht daher Grund zu der Annahme, dass das Gericht diese Rechtsprechung nicht kennen konnte.
34. Um den rechtlichen Rahmen für die durch die DSGVO eingeführte Aufsichtsregelung möglichst umfassend darzustellen und um dem vorlegenden Gericht eine sachdienliche Antwort zu geben, erscheint es mir unerlässlich, in einem ersten Schritt die für das Beschwerdeverfahren geltenden Grundsätze in Erinnerung zu rufen(7) und in einem zweiten Schritt zu erläutern, wie eine Aufsichtsbehörde vorgehen sollte, wenn sie festgestellt hat, dass der Schutz personenbezogener Daten verletzt worden ist(8).
1. Zu den Pflichten der Aufsichtsbehörde bei der Bearbeitung einer Beschwerde
35. Wie der Gerichtshof im Urteil SCHUFA festgestellt hat, haben die nationalen Aufsichtsbehörden gemäß Art. 8 Abs. 3 der Charta sowie Art. 51 Abs. 1 und Art. 57 Abs. 1 Buchst. a DSGVO die Einhaltung der Unionsvorschriften über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten zu überwachen(9).
36. Insbesondere ist jede Aufsichtsbehörde nach Art. 57 Abs. 1 Buchst. f DSGVO verpflichtet, sich in ihrem Hoheitsgebiet mit Beschwerden zu befassen, die jede Person gemäß Art. 77 Abs. 1 DSGVO einlegen kann, wenn sie der Ansicht ist, dass eine Verarbeitung sie betreffender personenbezogener Daten gegen diese Verordnung verstößt, und den Gegenstand der Beschwerde in angemessenem Umfang zu untersuchen(10).
37. Die Aufsichtsbehörde muss eine solche Beschwerde mit aller gebotenen Sorgfalt bearbeiten. Der Gerichtshof hat auch betont, dass Art. 58 Abs. 1 DSGVO hinsichtlich der Bearbeitung von Beschwerden jeder Aufsichtsbehörde weitreichende Untersuchungsbefugnisse verleiht(11).
38. In diesem Zusammenhang möchte ich festhalten, dass sich der Gerichtshof der von mir in den Schlussanträgen in den Rechtssachen SCHUFA vertretenen Auslegung angeschlossen hat, wonach das Beschwerdeverfahren, das kein petitionsähnliches Verfahren ist, als ein Mechanismus konzipiert wurde, der geeignet ist, die Rechte und Interessen der betroffenen Personen wirksam zu wahren(12).
39. Im Übrigen sei darauf hingewiesen, dass der Gerichtshof auch meine Auslegung des Art. 78 Abs. 1 DSGVO geteilt und entschieden hat, dass ein rechtsverbindlicher Beschluss einer Aufsichtsbehörde einer vollständigen inhaltlichen Überprüfung durch ein Gericht unterliegt(13).
2. Zu den Pflichten der Aufsichtsbehörde bei der Feststellung einer Verletzung des Schutzes personenbezogener Daten
40. Stellt die Aufsichtsbehörde bei der Prüfung einer Beschwerde eine Verletzung des Schutzes personenbezogener Daten fest, stellt sich die Frage, wie sie weiter vorzugehen hat. Wie ich nachstehend erläutern werde, begründet eine solche Feststellung zunächst eine Verpflichtung für die Aufsichtsbehörde, gemäß dem Legalitätsprinzip einzuschreiten. Es geht allgemein darum, die Abhilfemaßnahme(n) [zu] ermitteln, die zur Behebung des Verstoßes am besten geeignet ist bzw. sind(14). Diese Auslegung erscheint mir sinnvoll, zumal Art. 57 Abs. 1 Buchst. a DSGVO der Behörde die Aufgabe überträgt, „die Anwendung dieser Verordnung [zu] überwachen und durch[zu]setzen“. Es wäre mit diesem Mandat nicht zu vereinbaren, wenn die Aufsichtsbehörde den festgestellten Verstoß einfach ignorieren könnte(15).
41. Zudem wären die der Aufsichtsbehörde nach Art. 58 Abs. 1 DSGVO zustehenden Untersuchungsbefugnisse nicht viel wert, wenn die Aufsichtsbehörde gezwungen wäre, sich trotz der Feststellung einer Verletzung des Rechts auf Schutz personenbezogener Daten auf die Durchführung einer Untersuchung zu beschränken. Die Durchsetzung des Unionsrechts im Bereich des Schutzes personenbezogener Daten ist nämlich ein wesentlicher Bestandteil des Begriffs „Überwachung“ im Sinne von Art. 16 Abs. 2 AEUV und Art. 8 Abs. 3 der Charta(16). In diesem Kontext darf nicht vergessen werden, dass die Aufsichtsbehörde auch im Interesse der Person oder Einrichtung handelt, deren Rechte verletzt wurden. Hierzu ist anzumerken, dass Art. 57 Abs. 1 Buchst. f und Art. 77 Abs. 2 DSGVO bestimmte Verpflichtungen gegenüber dem Beschwerdeführer auferlegen, nämlich ihn „über den Fortgang und das Ergebnis der Untersuchung [zu] unterrichten“.
42. Dieser letzte Satz besagt, dass die Aufsichtsbehörde auch über die Maßnahmen zu unterrichten hat, die wegen der von ihr festgestellten Verletzung des Schutzes personenbezogener Daten ergriffen wurden. Es liegt auf der Hand, dass das Beschwerdeverfahren völlig nutzlos wäre, wenn die Aufsichtsbehörde angesichts einer unionsrechtswidrigen Rechtslage passiv bleiben könnte. Um der Aufsichtsbehörde ein wirksames Mittel für den Umgang mit derartigen Rechtsverletzungen an die Hand zu geben, sieht Art. 58 Abs. 2 DSGVO daher einen Katalog von je nach der Intensität des Eingriffs gestaffelten Abhilfemaßnahmen vor. Die Pflicht, unabhängig von der Schwere der Rechtsverletzung in jedem Fall einzuschreiten, bedeutet, dass die Aufsichtsbehörde auf diesen Katalog von Abhilfemaßnahmen zurückgreifen muss, um einen unionsrechtskonformen Zustand wiederherzustellen(17).
3. Zur Befugnis der Aufsichtsbehörde zum Erlass von Abhilfemaßnahmen
43. Dies vorausgeschickt, ist festzuhalten, dass die Frage, ob die Behörde bei einer Verletzung des Schutzes personenbezogener Daten einschreiten muss, klar von der Frage zu unterscheiden ist, wie sie konkret zu handeln hat. Was die letztere Frage anbelangt, so lassen mehrere Anhaltspunkte darauf schließen, dass die Aufsichtsbehörde über einen Handlungsspielraum verfügt, der gleichwohl im Einklang mit den Zielen der DSGVO und innerhalb der von ihr gesetzten Grenzen ausgeübt werden muss. Zwar habe ich einige Argumente für eine solche Auslegung bereits in den Rechtssachen SCHUFA angeführt(18), doch erscheint es mir notwendig, diese Frage in den vorliegenden Schlussanträgen ausführlich zu behandeln.
44. Zunächst ist festzustellen, dass die Aufsichtsbehörde gemäß Art. 58 Abs. 2 DSGVO über sämtliche in dieser Bestimmung aufgeführten „Abhilfebefugnisse [verfügt]“, was auf das Bestehen einer Möglichkeit hindeutet, wie das vorlegende Gericht zutreffend bemerkt. Im Übrigen findet sich dieser Bedeutungsgehalt in allen Sprachversionen, die ich im Rahmen meiner Prüfung betrachtet habe(19).
45. Art. 58 Abs. 2 DSGVO ist im Licht des 129. Erwägungsgrundes dieser Verordnung auszulegen, dem zufolge „jede Maßnahme im Hinblick auf die Gewährleistung der Einhaltung dieser Verordnung geeignet, erforderlich und verhältnismäßig sein [muss], wobei die Umstände des jeweiligen Einzelfalls zu berücksichtigen sind“ (Hervorhebung nur hier). Mit anderen Worten: Die der Aufsichtsbehörde verliehene „Befugnis“, auf den in dieser Bestimmung genannten Katalog von Abhilfemaßnahmen zurückzugreifen, ist an eine Reihe von Bedingungen geknüpft, u. a. daran, dass die von dieser Behörde ergriffene Maßnahme „geeignet“ ist. Ich verstehe diesen unbestimmten Rechtsbegriff, durch den der Behörde ein Beurteilungsspielraum eingeräumt wird, in dem Sinne, dass die gewählte Maßnahme aufgrund ihrer Eigenschaften und ihrer Wirkungsweise geeignet sein muss, einen unionsrechtskonformen Zustand herzustellen(20).
46. Diese Auslegung liegt voll und ganz auf der Linie der Rechtsprechung des Gerichtshofs, der entschieden hat, dass eine Aufsichtsbehörde, wenn sie feststellt, dass eine Verarbeitung personenbezogener Daten gegen die DSGVO verstößt, „verpflichtet [ist], in geeigneter Weise zu reagieren, um der festgestellten Unzulänglichkeit abzuhelfen“(21). Wie die Kommission bemerkt, bezieht sich die Verpflichtung der Aufsichtsbehörde also in erster Linie auf das zu erreichende Ergebnis, d. h. die Behebung des festgestellten Verstoßes, indem sie die hierfür „geeignete“ Maßnahme ergreift. Außerdem ist hervorzuheben, dass die Entscheidung über die zu ergreifende Maßnahme von den konkreten Umständen des jeweiligen Einzelfalls abhängt, wie sich aus dem vorerwähnten 129. Erwägungsgrund der DSGVO klar ergibt. Daher können die von der Aufsichtsbehörde im Rahmen ihrer Verwaltungspraxis getroffenen Entscheidungen je nach Sachlage von Fall zu Fall erheblich voneinander abweichen.
47. Da Art. 58 Abs. 2 DSGVO nur vorsieht, dass jede Aufsichtsbehörde über sämtliche in dieser Bestimmung aufgeführte „Abhilfebefugnisse [verfügt]“, steht der Aufsichtsbehörde insofern ein Ermessen zu, als sie grundsätzlich die freie Wahl zwischen den Abhilfemaßnahmen hat, um den festgestellten Verstoß zu beheben. Wie der Gerichtshof im Urteil in der Rechtssache C‑311/18 (Facebook Ireland und Schrems) betont hat, „[ist] es Sache der Aufsichtsbehörde“, unter Berücksichtigung aller Umstände des konkreten Falles „das geeignete und erforderliche Mittel zu wählen“(22).
48. Die Anerkennung eines Ermessens umfasst meines Erachtens auch die Befugnis, keine der in Art. 58 Abs. 2 DSGVO aufgeführten Abhilfemaßnahmen zu ergreifen, wenn ein solches Vorgehen durch die besonderen Umstände des Einzelfalls gerechtfertigt ist. Da der Rückgriff auf den Katalog von Abhilfemaßnahmen auch davon abhängt, dass die betreffende Maßnahme „erforderlich“ ist, um die Einhaltung dieser Verordnung zu gewährleisten, lässt sich nämlich nicht ausschließen, dass ein konkretes Einschreiten der Aufsichtsbehörde diese Voraussetzung nicht erfüllt, etwa wenn das Problem inzwischen gelöst oder bewältigt wurde und kein Verstoß mehr vorliegt. Es versteht sich von selbst, dass ein Einschreiten der Aufsichtsbehörde unter solchen Umständen sinnlos wäre.
49. Ebenso kann, wie die portugiesische Regierung zutreffend ausführt, die Anwendung von Abhilfemaßnahmen nicht mehr gerechtfertigt sein, wenn der Grad der Verwerflichkeit des Verhaltens des Verantwortlichen oder des Auftragsverarbeiters offensichtlich gering ist oder wenn mildernde Umstände vorliegen, etwa weil ein gewisses Mitverschulden des Beschwerdeführers besteht. Dies setzt voraus, dass die Aufsichtsbehörde die Möglichkeit hat, eine Schwelle festzulegen, unterhalb deren ein Einschreiten nicht als „erforderlich“ im Sinne der DSGVO angesehen wird.
50. In diesem Kontext möchte ich auf den 141. Erwägungsgrund der DSGVO hinweisen, in dem ausdrücklich die Möglichkeit erwähnt wird, dass die Aufsichtsbehörde, falls sie ein Einschreiten zum Schutz der Rechte der betroffenen Person nicht für „erforderlich“ hält (wenn sie „nicht tätig wird, obwohl dies … notwendig ist“), beschließt, untätig zu bleiben (Hervorhebung nur hier). Dieser Erwägungsgrund stellt klar, dass der Beschluss der Aufsichtsbehörde auch insoweit gerichtlich überprüfbar ist, als der Beschwerdeführer die Beurteilung der Aufsichtsbehörde hinsichtlich der „Erforderlichkeit“ eines Handelns nicht teilen sollte, abgesehen von den übrigen dort aufgeführten Fällen, d. h. wenn seine Rechte aus dieser Verordnung verletzt wurden oder wenn die Aufsichtsbehörde auf seine Beschwerde hin nicht tätig wird oder diese ganz oder teilweise abweist oder ablehnt.
51. Das der Aufsichtsbehörde nach Art. 58 Abs. 2 DSGVO zustehende Ermessen bedeutet, dass geringfügige Verstöße auch durch andere, vom Verantwortlichen selbst ergriffene Maßnahmen behoben werden können. Wie die Umstände des vorliegenden Falles zeigen, können von den verantwortlichen Unternehmen „eigenständig“ zu ergreifende Abhilfemaßnahmen darin bestehen, gegen Mitarbeiter, die Verstöße begangen haben, mit Disziplinarmaßnahmen vorzugehen. Falls die Verantwortlichkeit für den Verstoß anerkannt wurde und sofern gewährleistet ist, dass es zu keiner weiteren Verletzung des Datenschutzes kommen wird, kann die Anordnung zusätzlicher Abhilfemaßnahmen durch die Aufsichtsbehörde unnötig erscheinen.
52. Unter bestimmten Umständen kann es sogar kontraproduktiv sein, von der Befugnis zum Erlass von Abhilfemaßnahmen gegenüber einem Verantwortlichen Gebrauch zu machen, wenn dies weder geeignet noch erforderlich ist. Wäre die Aufsichtsbehörde verpflichtet, die Abhilfebefugnisse gemäß Art. 58 Abs. 2 DSGVO in jedem Fall einer Verletzung wahrzunehmen, würde dies dazu führen, dass weniger Ressourcen für die Erledigung anderer Fälle und Aufgaben zur Verfügung stünden, die aus Sicht des Datenschutzes mehr Aufmerksamkeit verdienen. Daher bin ich der Auffassung, dass der Einsatz vom Verantwortlichen selbst ergriffener „eigenständiger“ Maßnahmen es der Aufsichtsbehörde ermöglichen würde, sich auf schwerwiegende Fälle zu konzentrieren, die Priorität verdienen, und gleichzeitig – durch eine teilweise Übertragung ihrer Aufgaben – eine kontinuierliche, aber dezentralisierte Bekämpfung von Verletzungen des Schutzes personenbezogener Daten zu gewährleisten.
53. Wenn die Aufsichtsbehörde beschließt, von der Anwendung der Abhilfemaßnahmen gemäß Art. 58 Abs. 2 DSGVO abzusehen und stattdessen „eigenständige“ Maßnahmen des Verantwortlichen vorzuziehen, sind meines Erachtens aber einige rechtliche Vorgaben zu beachten. Erstens sollte die Aufsichtsbehörde einer solchen Maßnahme ausdrücklich zustimmen, um eine Umgehung der durch die DSGVO eingeführten Aufsichtsregelung zu verhindern. Zweitens sollte vor dieser Zustimmung eine strenge Prüfung der Situation im Hinblick auf die im 129. Erwägungsgrund der DSGVO genannten Bedingungen stattfinden, damit die Aufsichtsbehörde nicht aus ihrer Verantwortung entlassen wird, die Einhaltung dieser Verordnung sicherzustellen. Drittens sollte die Vereinbarung mit der Einrichtung, die die „eigenständige“ Maßnahme durchführen soll, vorsehen, dass die Aufsichtsbehörde zum Einschreiten berechtigt ist, wenn ihre Anweisungen nicht befolgt werden. Sollte der Gerichtshof dieser Auslegung folgen und solche „eigenständigen“ Maßnahmen grundsätzlich für DSGVO-konform halten, müsste er meines Erachtens auch darauf bestehen, dass die vorgenannten Vorgaben im Interesse der Kohärenz der Aufsichtsregelung einzuhalten sind.
54. Da Art. 58 Abs. 2 DSGVO der Aufsichtsbehörde ein Ermessen bei der Wahl der im Einzelfall „geeigneten“ Abhilfemaßnahme einräumt, ist es nur folgerichtig, jeden Anspruch des Beschwerdeführers auf Erlass einer bestimmten Maßnahme auszuschließen. Denn obwohl der Beschwerdeführer im Rahmen dieses Verfahrens über bestimmte Rechte gegenüber der Aufsichtsbehörde verfügt, u. a. das Recht, innerhalb einer angemessenen Frist über den Stand und das Ergebnis der Untersuchung informiert zu werden, umfassen diese Rechte nicht den Anspruch auf Erlass einer bestimmten Maßnahme.
55. Ein solcher Anspruch kann auch nicht daraus hergeleitet werden, dass der Beschwerdeführer nach Art. 78 DSGVO das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde hat, denn die Hauptpflicht dieser Behörde gegenüber dem Beschwerdeführer besteht im Rahmen des Beschwerdeverfahrens darin, ihre Entscheidung, ob sie in diesem Fall tätig wird oder nicht, unter Berücksichtigung der Erkenntnisse aus der von ihr durchgeführten Untersuchung hinreichend genau und detailliert zu begründen.
56. Im Übrigen ist zu beachten, dass der gerichtliche Rechtsbehelf nach Art. 78 Abs. 2 DSGVO mit der Begründung eingelegt werden kann, die zuständige Aufsichtsbehörde habe sich nicht mit der Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der von ihr gemäß Art. 77 DSGVO erhobenen Beschwerde in Kenntnis gesetzt. Keiner der genannten Gründe deutet jedoch darauf hin, dass der betroffenen Person irgendein subjektives Recht zustünde, im Wege eines gerichtlichen Rechtsbehelfs den Erlass einer bestimmten Maßnahme zu verlangen.
57. Dies gilt auch für die im 141. Erwägungsgrund der DSGVO erwähnte Möglichkeit, die Beurteilung der Aufsichtsbehörde hinsichtlich der „Notwendigkeit“ eines Einschreitens zum Schutz der Rechte der betroffenen Person mit einem gerichtlichen Rechtsbehelf anzugreifen. Selbst wenn das zuständige Gericht letztlich feststellen sollte, dass in einem bestimmten Fall „Handlungsbedarf“ besteht, bedeutet dies nicht zwangsläufig, dass die Aufsichtsbehörde eine bestimmte Maßnahme ergreifen müsste. Diese Behörde wäre vielmehr verpflichtet, ihr Ermessen auszuüben, und zwar gegebenenfalls unter Berücksichtigung der von diesem Gericht vorgenommenen Beurteilung.
58. Allerdings ist es auch denkbar, dass die Aufsichtsbehörde als Verwaltungsbehörde aufgrund der besonderen Umstände des Einzelfalls gezwungen ist, eine bestimmte Maßnahme zu erlassen, insbesondere wenn die ernsthafte Gefahr einer Beeinträchtigung der Grundrechte der betroffenen Person besteht. Genau dieses Szenario habe ich in meinen Schlussanträgen in den Rechtssachen SCHUFA angesprochen(23). Das vorliegende Vorabentscheidungsersuchen bietet somit die Gelegenheit, diese Thematik zu vertiefen.
59. In diesem Zusammenhang ist zunächst das Urteil in der Rechtssache C‑311/18 (Facebook Ireland und Schrems) zu beachten, in dem der Gerichtshof erkennen ließ, dass eine derartige Fallgestaltung tatsächlich vorkommen kann. Der Gerichtshof hat konkret entschieden, dass die Aufsichtsbehörde gegebenenfalls verpflichtet ist, einige der in Art. 58 Abs. 2 DSGVO aufgeführten Maßnahmen zu ergreifen, und zwar insbesondere dann, wenn sie der Auffassung ist, dass der nach dem Unionsrecht erforderliche Schutz nicht durch andere Mittel gewährleistet werden kann. Insofern reduziert sich das Ermessen der Aufsichtsbehörde also auf einige oder gegebenenfalls sogar nur auf eine einzige der in dieser Bestimmung genannten Maßnahmen(24).
60. Wie die österreichische Regierung zutreffend ausführt, kann es zahlreiche ähnliche Fälle geben, in denen eine bestimmte Abhilfemaßnahme geboten ist, wie beispielsweise den Fall, dass die Aufsichtsbehörde in einem Beschwerdeverfahren feststellt, dass eine Löschungspflicht besteht und der Verantwortliche die Daten noch nicht gelöscht hat. In der beschriebenen Situation wird die Aufsichtsbehörde jedenfalls gemäß Art. 58 Abs. 2 Buchst. g DSGVO die Löschung anzuordnen haben.
61. Die in den vorstehenden Nummern genannten Beispiele zeigen, dass nicht auszuschließen ist, dass je nach den besonderen Umständen des Einzelfalls die Wiederherstellung einer unionsrechtskonformen Lage nur durch den Erlass einer bestimmten Abhilfemaßnahme erreicht werden kann. Insbesondere könnte meines Erachtens das Ermessen der Aufsichtsbehörde, sofern andernfalls eine gravierende Verletzung der Rechte der betroffenen Person drohen würde, auf den Erlass einer einzigen Maßnahme beschränkt sein, wenn nur diese zum Schutz der Rechte der betroffenen Person geeignet wäre.
62. Jede andere Auslegung wäre aus meiner Sicht unvereinbar mit der Verpflichtung, die Achtung der Grundrechte der Charta zu gewährleisten, an die die Behörden der Mitgliedstaaten gemäß Art. 51 Abs. 1 der Charta bei der Durchführung des Unionsrechts gebunden sind. Wie sich aus Art. 58 Abs. 4 DSGVO ergibt, giltdiese Verpflichtung auch für die Aufsichtsbehörden(25). So gesehen erscheint die These vertretbar, dass das Unionsrecht der betroffenen Person ein subjektives Recht verleiht, von der Behörde den Erlass der fraglichen Maßnahme zu verlangen. Ich möchte jedoch betonen, dass ich im vorliegenden Fall keinen Hinweis darauf zu erkennen vermag, dass die Voraussetzungen für eine solche Einschränkung des Ermessens der Aufsichtsbehörde erfüllt wären.
63. Zusammenfassend ist festzuhalten, dass eine mit einer Beschwerde nach Art. 77 DSGVO befasste Aufsichtsbehörde, wenn sie eine Verletzung der Rechte der betroffenen Person feststellt, verpflichtet ist, in geeigneter Weise zu reagieren, um den festgestellten und fortbestehenden Unzulänglichkeiten abzuhelfen und den Schutz der Rechte der betroffenen Person zu gewährleisten. Wird die Aufsichtsbehörde insoweit tätig, hat sie unter den in Art. 58 Abs. 2 DSGVO genannten Befugnissen die geeignete, erforderliche und verhältnismäßige Maßnahme auszuwählen. Dieses Ermessen bei der Wahl der Mittel ist folglich beschränkt, wenn der erforderliche Schutz nur durch ganz bestimmte Maßnahmen gewährleistet werden kann.
4. Zur fehlenden Pflicht der Aufsichtsbehörde, Geldbußen in allen Fällen zu verhängen
64. Nach dieser allgemeinen Darstellung der Abhilfebefugnisse der Aufsichtsbehörde ist zu prüfen, ob die Aufsichtsbehörde verpflichtet ist, in allen Fällen Geldbußen zu verhängen. Obwohl einige Aspekte dieser Frage auf der Grundlage der vorstehenden Ausführungen geklärt werden können, halte ich einige zusätzliche Erläuterungen für erforderlich. Denn auch wenn der Unionsgesetzgeber Geldbußen in den Kreis der „Abhilfemaßnahmen“ gemäß Art. 58 Abs. 2 DSGVO aufgenommen hat, weisen sie im Vergleich zu anderen Maßnahmen einige besondere Merkmale auf. Aus diesem Grund werde ich mich in diesem Teil meiner Erörterung auf die spezifische Regelung in Art. 58 Abs. 2 Buchst. i und Art. 83 DSGVO konzentrieren.
65. Wie der Gerichtshof kürzlich festgestellt hat, ist die Geldbuße Teil des mit der DSGVO eingeführten Sanktionssystems, durch das die Verantwortlichen und Auftragsverarbeiter dazu angehalten werden, diese Verordnung einzuhalten. Geldbußen tragen durch ihre abschreckende Wirkung dazu bei, dass der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten verbessert wird, und sind daher ein Schlüsselelement, um sicherzustellen, dass die Rechte dieser Personen im Einklang mit dem Ziel der Verordnung, ein hohes Schutzniveau für natürliche Personen bei der Verarbeitung personenbezogener Daten zu gewährleisten, gewahrt werden(26).
66. Art. 83 DSGVO sieht ein zweistufiges System mit der ausdrücklichen Maßgabe vor, dass einige Zuwiderhandlungen schwerwiegender sind als andere. Die erste Stufe betrifft Verstöße gegen Artikel, in denen die Verantwortlichkeit verschiedener Akteure (Verantwortlicher, Auftragsverarbeiter, Zertifizierungsstellen usw.) geregelt ist. Die zweite Stufe bezieht sich auf Verletzungen der durch diese Verordnung geschützten individuellen Rechte, wie z. B. Grundrechte, Grundsätze für die Verarbeitung, Informationsrechte der betroffenen Personen, Übermittlungsregeln usw. Auf beiden Stufen sind zwei Bewertungen vorzunehmen: erstens, um zu entscheiden, ob eine Geldbuße verhängt werden soll, und zweitens, um über die Höhe der Geldbuße zu entscheiden. Bei beiden Bewertungen müssen die Aufsichtsbehörden alle in Art. 83 Abs. 2 DSGVO aufgeführten einzelnen Faktoren berücksichtigen. Die in der ersten Phase der Bewertung gezogenen Schlussfolgerungen können jedoch auch in der zweiten Phase zur Festsetzung des Betrags für die Geldbuße verwendet werden, so dass das gleiche Kriterium nicht zweimal bewertet werden muss(27).
67. Nach diesen einleitenden Erläuterungen werde ich im Folgenden die Frage nach einer möglichen Pflicht zur Verhängung von Geldbußen in allen Fällen prüfen. Hierzu ist zunächst anzumerken, dass die Aufsichtsbehörde gemäß Art. 58 Abs. 2 Buchst. i DSGVO „je nach den Umständen des Einzelfalls“ eine Geldbuße verhängen kann. Diese Bestimmung ist in Verbindung mit Art. 83 Abs. 2 DSGVO zu lesen, der nicht nur die gleiche Einschränkung bei der Anwendung einer derartigen Abhilfemaßnahme vorsieht, sondern auch darauf hindeutet, dass die Aufsichtsbehörde hiervon sogar ganz absehen kann („Bei der Entscheidung über die Verhängung einer Geldbuße“) (Hervorhebung nur hier), wenn die Umstände ein solches Vorgehen rechtfertigen. Diese Formulierung findet sich – mit mehr oder weniger ähnlichen Worten – auch in anderen Sprachfassungen(28). Zusammenfassend lässt sich sagen, dass der Wortlaut des Art. 83 Abs. 2 DSGVO selbst darauf hinweist, dass die Verhängung einer Geldbuße nicht in allen Fällen zwingend geboten ist.
68. Außerdem hat die Aufsichtsbehörde nach dieser Bestimmung in jedem Einzelfall bei der Entscheidung, ob eine Geldbuße verhängt werden soll, eine Reihe von Kriterien zu berücksichtigen. Dabei handelt es sich im Wesentlichen um – erschwerende und mildernde – Umstände, die die die Entscheidung der Aufsichtsbehörde beeinflussen, wie etwa die Art, Schwere und Dauer des Verstoßes, aber auch um mit dem Verhalten des Verantwortlichen zusammenhängende Umstände, wie die Tatsache, dass der Verstoß vorsätzlich oder fahrlässig begangen wurde(29).
69. In diesem Zusammenhang sind meines Erachtens Satz 2 und Satz 3 des 148. Erwägungsgrundes der DSGVO für die Auslegung von deren Art. 83 Abs. 2 relevant, da sie Aufschluss über die bei der Entscheidungsfindung zu berücksichtigenden Kriterien geben. Mit diesem Erwägungsgrund wird der Begriff des „geringfügigeren Verstoßes“ eingeführt, was erhebliche Konsequenzen für die Verwaltungspraxis der Aufsichtsbehörde hat(30). Dort heißt es u. a.: „Im Falle eines geringfügigeren Verstoßes oder falls [die] voraussichtlich zu verhängende Geldbuße eine unverhältnismäßige Belastung für eine natürliche Person bewirken würde, kann anstelle einer Geldbuße eine Verwarnung erteilt werden“ (Hervorhebung nur hier).
70. Nach meiner Ansicht kann diesem Hinweis entnommen werden, dass sich der Unionsgesetzgeber dessen bewusst war, dass eine Geldbuße eine besonders strenge Abhilfemaßnahme darstellt, die nicht in allen Fällen ergriffen werden darf, da sonst ihre Wirksamkeit gemindert würde, sondern nur dann, wenn die Umstände es in einem konkreten Fall erfordern. In der Tat wird im 148. Erwägungsgrund der DSGVO der Grundsatz der Verhältnismäßigkeit angesprochen, den die Aufsichtsbehörden bei der Anwendung dieser Verordnung speziell im Zusammenhang mit Sanktionen, einschließlich Geldbußen, zu beachten haben. Wie ich im Rahmen meiner Prüfung schon erwähnt habe, findet dieser Grundsatz seinen Ausdruck im 129. Erwägungsgrund der DSGVO, der den Erlass von Abhilfemaßnahmen im Allgemeinen betrifft(31). Das vom Gesetzgeber gewollte Sanktionssystem ist daher flexibel und differenziert(32).
71. Die Auslegung dieses Art. 83 Abs. 2 im Licht des 148. Erwägungsgrundes der DSGVO ergibt, dass die Aufsichtsbehörde, selbst wenn ein Verstoß festgestellt wurde, bei der Bewertung der in dieser Bestimmung genannten Kriterien zu der Auffassung gelangen kann, dass der Verstoß unter den konkreten Umständen des Falles beispielsweise keine erhebliche Gefahr für die Datenschutzrechte der betroffenen Personen darstellt und die fragliche Pflicht in ihrem Kern nicht beeinträchtigt. In solchen Fällen kann die Geldbuße – jedoch nicht zwingend – durch eine Verwarnung ersetzt werden(33).
72. Der 148. Erwägungsgrund verpflichtet die Aufsichtsbehörde aber nicht dazu, bei einem geringfügigeren Verstoß die Geldbuße von Amts wegen durch eine Abmahnung zu ersetzen, sondern eröffnet ihr die Möglichkeit hierzu nach einer konkreten Bewertung aller Umstände des Einzelfalls. Schließlich geht aus dem 148. Erwägungsgrund hervor, dass die Aufsichtsbehörde von der Verhängung einer Geldbuße absehen kann, auch wenn eine solche Abhilfemaßnahme aufgrund ihrer Bewertung a priori zu ergreifen wäre, sofern diese Geldbuße eine natürliche Person unverhältnismäßig belasten würde(34).
73. Somit entscheiden die in Art. 83 Abs. 2 DSGVO angesprochenen jeweiligen Umstände des Einzelfalls letztlich darüber, ob eine Geldbuße zu verhängen ist und, wenn ja, in welcher Höhe. All diese Anhaltspunkte bestärken mich in meiner Auffassung, dass diese Entscheidung letztlich eine Ermessensentscheidung der Aufsichtsbehörde darstellt(35). Die Aufsichtsbehörde hat die Verantwortung, das ihr eingeräumte Ermessen gewissenhaft und im Einklang mit den Vorgaben der DSGVO auszuüben. Die Grenzen dieses Ermessens ergeben sich aus den allgemeinen Grundsätzen des Unionsrechts und des Rechts der Mitgliedstaaten, insbesondere aus dem Grundsatz der Gleichbehandlung. Daher ist für die Verhängung von Geldbußen eine Verwaltungspraxis zu entwickeln, die gleichartige Fälle gleichbehandelt.
74. Ich möchte auch darauf hinweisen, dass bei einer kumulativen Verhängung finanzieller strafrechtlicher Sanktionen laut dem 149. Erwägungsgrund der DSGVO sogar die Gefahr einer Verletzung des Grundsatzes „ne bis in idem“, wie er vom Gerichtshof ausgelegt wurde, besteht. Dieser Grundsatz stellt ein Grundrecht dar, das durch Art. 50 der Charta geschützt ist, und darf nur unter strengen Bedingungen gemäß Art. 52 der Charta eingeschränkt werden. Eine Verhängung von Geldbußen kann, anders gesagt, auch an Schranken rechtlicher Art stoßen.
5. Zur fehlenden Pflicht der Aufsichtsbehörde, Geldbußen zu verhängen, wenn der Beschwerdeführer dies ausdrücklich verlangt
75. Als Letztes bleibt zu prüfen, ob die Aufsichtsbehörde Geldbußen verhängen muss, wenn der Beschwerdeführer dies ausdrücklich verlangt. Wie ich anlässlich der Zulässigkeitsprüfung des Vorabentscheidungsersuchens festgestellt habe, hatte TR ausweislich der Akten den HBDI aufgefordert, gegen die Sparkasse einzuschreiten und ihr Geldbußen aufzuerlegen. Seinen Antrag hatte TR auf Berechnungen zur Bestimmung der Höhe der aufzuerlegenden Geldbußen gestützt(36). Dieser Antrag beruht allem Anschein nach auf der Ansicht, dass der Beschwerdeführer ein subjektives Recht gegenüber der Aufsichtsbehörde auf den Erlass einer bestimmten Maßnahme hat. Wie ich nachstehend darlegen werde, fehlt es für diesen Standpunkt aus meiner Sicht jedoch an einer Rechtsgrundlage.
76. Erstens hat meine Prüfung ergeben, dass die Aufsichtsbehörde bei der Wahl der geeigneten Maßnahme in jedem Einzelfall über ein Ermessen verfügt. Sofern keine besonderen Umstände vorliegen, die zu einer Einschränkung dieses Ermessens führen könnten, wie etwa die Schwere oder die fortbestehenden Auswirkungen einer Verletzung des Schutzes personenbezogener Daten – wovon im vorliegenden Fall meines Erachtens nicht auszugehen ist –, behält die Aufsichtsbehörde dieses Ermessen. Da Geldbußen zu den Abhilfemaßnahmen gehören, die die Aufsichtsbehörde nach Art. 58 Abs. 2 DSGVO ergreifen kann, ist es nur folgerichtig, daraus zu schließen, dass sich dieses Ermessen auch auf Geldbußen erstreckt. Daher ist die Aufsichtsbehörde nicht verpflichtet, im Interesse des Beschwerdeführers zu handeln, indem sie eine bestimmte Abhilfemaßnahme ergreift.
77. Zweitens könnte meines Erachtens, auch wenn die Umstände des vorliegenden Falles anders gelagert wären, so dass der Erlass einer bestimmten Abhilfemaßnahme gerechtfertigt wäre, nicht mit Erfolg geltend gemacht werden, dass eine Geldbuße verhängt werden müsse. Wie die österreichische Regierung meine ich, dass zu berücksichtigen ist, welche Ziele mit den verschiedenen in Art. 58 Abs. 2 DSGVO aufgeführten Abhilfemaßnahmen und insbesondere mit der Geldbuße verfolgt werden. Konkret scheint mir deren Rechtsnatur der Anerkennung eines subjektiven Rechts der betroffenen Person im vorstehenden Sinne entgegenzustehen, da eines der Ziele dieser Maßnahme darin besteht, ein für unionsrechtswidrig befundenes Verhalten zu ahnden. Nach meinem Dafürhalten kann die Geldbuße aufgrund des mit ihr zumindest in manchen Fällen verfolgten Strafzwecks(37) und angesichts ihres gegebenenfalls hohen Schweregrads strafrechtlicher Natur sein(38). Das Recht, zu strafen („ius puniendi“), steht aber ausschließlich dem Staat und seinen Organen zu.
78. In diesem Zusammenhang ist zu beachten, dass Geldbußen nach Art. 83 Abs. 1 DSGVO u. a. in jedem Einzelfall „wirksam, verhältnismäßig und abschreckend“ sein müssen. Die Aufsichtsbehörde hat in eigener Verantwortung zu beurteilen, ob die beabsichtigte Geldbuße im jeweiligen Fall diese Voraussetzungen erfüllt. Sie muss entscheiden, ob im Einzelfall auf das Mittel der Geldbuße zurückgegriffen werden soll. Zu diesem Zweck gibt ihr der Unionsgesetzgeber einen detaillierten rechtlichen Rahmen vor. So enthält Art. 83 DSGVO die allgemeinen Voraussetzungen für die Verhängung solcher Geldbußen, ergänzt durch die vom EDSA gemäß Art. 70 Abs. 1 Buchst. k DSGVO erstellten Leitlinien für die Anwendung und Festsetzung von Geldbußen im Sinne der DSGVO. Hierzu sei darauf hingewiesen, dass keine dieser Regeln und Leitlinien den Schluss zulässt, dass der Beschwerdeführer, dessen Rechte verletzt wurden, eine besondere Rechtsstellung hätte, die es ihm erlauben würde, von der Aufsichtsbehörde die Verhängung einer Geldbuße gegen den Zuwiderhandelnden zu verlangen.
79. Zwar legen einige der in Art. 83 Abs. 2 DSGVO genannten Kriterien – wie etwa das Ausmaß des erlittenen Schadens – nahe, dass die Aufsichtsbehörde beim Erlass einer Entscheidung auch die Situation der betroffenen Person berücksichtigen muss. Diese Kriterien sind jedoch für sich allein kein ausreichender Beleg dafür, dass es ein subjektives Recht gäbe, die Verhängung einer Geldbuße zu verlangen. Wie sich aus der Auslegung dieser Bestimmung im Licht des 75. Erwägungsgrundes der DSGVO ergibt, sollen durch diese Kriterien der Aufsichtsbehörde sachdienliche Anhaltspunkte geliefert werden, anhand deren sie Art, Schwere und Dauer des Verstoßes beurteilen und die geeignete Abhilfemaßnahme auswählen kann(39). Daher kann die Aufsichtsbehörde je nach Einzelfall verschiedene Abhilfemaßnahmen – und nicht nur eine Geldbuße – in Betracht ziehen, ohne dass die betroffene Person den Erlass einer bestimmten Maßnahme verlangen könnte. Es ist allein Sache der Aufsichtsbehörde zu entscheiden, ob eine Maßnahme mit dem Ziel ergriffen wird, die Verletzung der Bestimmungen zu beheben oder rechtswidriges Verhalten zu bestrafen.
80. Ein anderer Schluss lässt sich drittens auch nicht aus dem Umstand ziehen, dass der Unionsgesetzgeber in der durch die DSGVO geschaffenen Geldbußenregelung die Rolle der Aufsichtsbehörde in Anlehnung an die Befugnisse der Kommission im Bereich des Wettbewerbsrechts konzipiert hat(40). Wie erinnerlich gehört deren Befugnis, Geldbußen gegen Unternehmen zu verhängen, die gegen Art. 101 und 102 AEUV verstoßen, zu den Befugnissen, die der Kommission eingeräumt worden sind, um sie in die Lage zu versetzen, die ihr durch das Unionsrecht übertragene Überwachungsaufgabe zu erfüllen(41). Die Kommission verfügt jedoch über ein Ermessen, dessen Ausübung nur dadurch begrenzt wird, dass sie die allgemeinen Grundsätze des Unionsrechts, einschließlich des Verhältnismäßigkeits- und des Gleichbehandlungsgrundsatzes, zu beachten hat(42). Im Übrigen ist festzustellen, dass in der Verordnung (EG) Nr. 1/2003 zur Durchführung der Wettbewerbsregeln(43) Beschwerdeführern oder Dritten, deren Interessen durch eine Entscheidung in einem von der Kommission eingeleiteten Verwaltungsverfahren berührt werden können, kein Anspruch auf Erlass von Geldbußen gemäß deren Art. 23 eingeräumt wird(44); nach Art. 27 dieser Verordnung hat die Kommission vor Verhängung einer Sanktion nur ihre etwaigen Anträge auf Anhörung zu bescheiden.
81. Infolgedessen lässt das Unionsrecht bei seinem derzeitigen Entwicklungsstand meines Erachtens nicht den Schluss zu, dass einem Beschwerdeführer, dessen Rechte verletzt wurden, ein subjektives Recht auf Verhängung einer Geldbuße zustünde. Dabei bleibt es ihm unbenommen, die Anwendung einer solchen Abhilfemaßnahme anzuregen sowie Argumente und Belege zur Begründung seines Standpunkts anzuführen. Die endgültige Entscheidung liegt jedoch im Ermessen der Aufsichtsbehörde.
D. Resümee der Prüfung der Vorlagefrage
82. Aus der vorstehenden Erörterung ergibt sich, dass die Aufsichtsbehörde zum Einschreiten verpflichtet ist, wenn sie bei der Prüfung einer Beschwerde eine Verletzung des Schutzes personenbezogener Daten feststellt. Insbesondere hat sie die Abhilfemaßnahme(n) zu ermitteln, die zur Behebung des Verstoßes und zur Durchsetzung der Rechte der betroffenen Person am besten geeignet ist bzw. sind. In diesem Zusammenhang räumt die DSGVO der Aufsichtsbehörde zwar ein gewisses Ermessen ein, verlangt jedoch, dass diese Maßnahmen geeignet, erforderlich und verhältnismäßig sind. Unter bestimmten Bedingungen kann die Aufsichtsbehörde auf die in Art. 58 Abs. 2 DSGVO genannten Maßnahmen zugunsten „eigenständiger“ Maßnahmen verzichten, die der Verantwortliche selbst ergreift. Jedenfalls hat die betroffene Person keinen Anspruch auf Erlass einer bestimmten Maßnahme. Diese Grundsätze gelten auch für die Geldbußenregelung.
VI. Ergebnis
83. Nach alledem schlage ich dem Gerichtshof vor, die Vorlagefrage des Verwaltungsgerichts Wiesbaden (Deutschland) wie folgt zu beantworten:
Art. 57 Abs. 1 Buchst. a und f sowie Art. 58 Abs. 2 Buchst. a bis j in Verbindung mit Art. 77 Abs. 1 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
sind dahin auszulegen, dass
die Aufsichtsbehörde, wenn sie eine Datenverarbeitung feststellt, die in die Rechte der betroffenen Person eingreift, verpflichtet ist, gemäß Art. 58 Abs. 2 der Verordnung 2016/679 einzuschreiten, soweit dies erforderlich ist, um die vollständige Beachtung dieser Verordnung zu gewährleisten. In diesem Zusammenhang hat sie unter Berücksichtigung der konkreten Umstände des jeweiligen Einzelfalls das geeignete, erforderliche und verhältnismäßige Mittel auszuwählen, um insbesondere den Rechtsverstoß zu beheben und die Rechte der betroffenen Person durchzusetzen.